Monitorizar tentativas de obter acesso e alterar definições no computador

Tem de ter sessão iniciada como administrador para executar estes passos.

Pode monitorizar (também conhecido como auditar) as ocorrências no computador para ajudar a torná-lo mais seguro. Ao auditar o computador, pode saber se alguém iniciou sessão no computador, criou uma nova conta de utilizador, alterou a política de segurança ou abriu um documento. A auditoria não impede que um hacker ou outra pessoa com conta de utilizador no computador de efectuar alterações, permite apenas saber quando foi efectuada uma alteração e quem a efectuou

A tabela seguinte descreve os vários tipos de eventos que pode monitorizar. Se escolher monitorizar algum destes tipos de eventos, o Windows regista os eventos num registo que pode consultar no Visualizador de eventos.

Event Descrição
Event

Gestão de contas

Descrição

Monitorize-a para ver quando alguém alterou um nome de conta, activou ou desactivou uma conta, criou ou eliminou uma conta, alterou uma palavra-passe ou alterou um grupo de utilizadores.

Event

Eventos de início de sessão

Descrição

Monitorize-os para ver quando alguém iniciou ou terminou sessão no computador (fisicamente no computador ou por tentativa de inicio de sessão através da rede).

Event

Acesso ao serviço de directório

Descrição

Monitorize-o para ver se alguém acede a um objecto do Active Directory que tem a sua própria SACL (system access control list).

Event

Acesso a objectos

Descrição

Monitorize-o para ver quando alguém utilizou um ficheiro, pasta, impressora ou outro objecto. Apesar de também poder auditar chaves do registo, a Microsoft não recomenda que o faça a menos que tenha conhecimentos avançados de informática e saiba como utilizar o registo.

Event

Alteração da política

Descrição

Monitorize-a para ver as tentativas de alteração das políticas de segurança local e para ver se alguém alterou as atribuições de direitos de utilizador, políticas de auditoria ou de fidedignidade.

Event

Utilização de privilégios

Descrição

Monitorize-a para ver quando alguém efectuar uma tarefa para a qual tenha permissão no computador.

Event

Controlo de processos

Descrição

Monitorize-o para ver quando os eventos, tal como a ocorrência de uma activação de programa ou uma saída de processo.

Event

Eventos do sistema

Descrição

Monitorize-os para ver quando alguém encerrou ou reiniciou o computador ou quando um processo ou programa tenta realizar uma operação para a qual não tem permissão. Por exemplo, se spyware tentou alterar uma definição no computador sem permissão, a monitorização de eventos do sistema iria registar essa tentativa.

Mostrar tudo

Para activar a auditoria

  1. Abra a Política de Segurança Local clicando no botão IniciarImagem do botão Iniciar, escrevendo secpol.msc na caixa de pesquisa e, em seguida, clicando em secpol. São necessárias credenciais de administrador Se lhe for pedida uma palavra-passe de administrador ou uma confirmação, escreva a palavra-passe ou forneça a confirmação.

  2. No painel da esquerda, faça duplo clique em Políticas Locais e, em seguida, clique em Política de Auditoria.

  3. Faça duplo clique no tipo de evento que pretende auditar.

  4. Seleccione a caixa de verificação Êxito ou Falha ou ambas e, em seguida, clique em OK.

    • Se seleccionar Êxito, o Windows irá registar todas as tentativas com êxito para concluir o tipo de evento que estiver a monitorizar. Por exemplo, se estiver a auditar eventos de início de sessão, sempre que alguém iniciar sessão no computador seria considerado um evento de início de sessão com êxito.

    • Se seleccionar Falha, qualquer tentativa de iniciar sessão no computador sem êxito será registada.

    • Se seleccionar Êxito e Falha, o Windows regista todas as tentativas.

    Existe um limite para o número de eventos que podem ser registados e se a auditoria ficar muito cheia, pode tornar o computador mais lento. Para obter mais espaço, pode eliminar eventos do registo quando os estiver a ver no Visualizador de Eventos.

Para monitorizar quem abre documentos

  1. Clique com o botão direito do rato no documento ou ficheiro que pretende controlar e, em seguida, clique em Propriedades.

  2. Clique no separador Segurança, clique em Avançadas e clique no separador Auditoria.

  3. Clique em Continuar. São necessárias credenciais de administrador Se lhe for pedida uma palavra-passe de administrador ou uma confirmação, escreva a palavra-passe ou forneça a confirmação.

  4. Clique em Adicionar.

  5. Na caixa Introduza o nome do objecto a seleccionar, escreva o nome do utilizador ou grupo cujas acções pretende controlar e clique em OK em cada uma das quatro caixas de diálogo abertas.

    Se pretender monitorizar todas as pessoas, escreva Todos. Se pretender monitorizar um utilizador específico, introduza o nome do computador seguido pelo nome do utilizador ou o nome do domínio seguido pelo nome do utilizador (se o computador estiver num domínio): computador\nome de utilizador ou domínio\nome de utilizador.

  6. Seleccione a caixas de verificação da acção que pretende auditar e, em seguida, clique em OK. a tabela seguinte descreve as acções que pode auditar.

    Acções auditáveis para ficheiros

    Acção Descrição
    Acção

    Atravessar pasta / executar ficheiro

    Descrição

    Mantém o registo quando alguém executa um ficheiro de programas.

    Acção

    Listar pasta/Ler dados

    Descrição

    Mantém o registo quando alguém vê os dados num ficheiro.

    Acção

    Ler atributos

    Descrição

    Mantém o registo de quando alguém vê os atributos de um ficheiro, tais como Só de leitura ou Oculto.

    Acção

    Ler atributos expandidos

    Descrição

    Mantém o registo quando alguém vê os atributos expandidos de um ficheiro. Os atributos expandidos são definidos pelo programa que criou o ficheiro.

    Acção

    Criar ficheiros / escrever dados

    Descrição

    Mantém o registo quando alguém altera os conteúdos de um ficheiro.

    Acção

    Criar pastas / acrescentar dados

    Descrição

    Mantém o registo quando alguém adiciona dados ao final de um ficheiro.

    Acção

    Escrever atributos

    Descrição

    Mantém o registo quando alguém altera os atributos de um ficheiro.

    Acção

    Escrever atributos expandidos

    Descrição

    Mantém o registo quando alguém altera os atributos expandidos de um ficheiro.

    Acção

    Eliminar subpastas e ficheiros

    Descrição

    Mantém o registo quando alguém elimina uma pasta.

    Acção

    Eliminar

    Descrição

    Mantém o registo quando alguém elimina um ficheiro.

    Acção

    Ler permissões

    Descrição

    Controla quando alguém lê as permissões num ficheiro.

    Acção

    Alterar permissões

    Descrição

    Mantém o registo quando alguém altera as permissões num ficheiro.

    Acção

    Obter propriedade

    Descrição

    Mantém o registo quando alguém obtém a propriedade de um ficheiro.

    Nota

    • Seleccionar a caixa de verificação Controlo total implica a selecção de todas as acções auditáveis.

Para ver os registos de auditoria

  1. Abra o Visualizador de Eventos clicando no botão IniciarImagem do botão Iniciar, em Painel de Controlo, em Sistema e Segurança, em Ferramentas Administrativas e fazendo duplo clique em Visualizador de Eventos. São necessárias credenciais de administrador Se lhe for pedida uma palavra-passe de administrador ou uma confirmação, escreva a palavra-passe ou forneça a confirmação.

  2. No painel da esquerda, faça duplo clique em Registos do Windows e clique em Segurança.

  3. Faça duplo clique num evento para consultar os detalhes.

Nota

  • Para eliminar os registos, clique em Limpar o registo no painel Acções.

Para mais informações sobre a auditoria de segurança, incluindo políticas de auditoria detalhadas, visite Auditoria de Segurança (pode estar em inglês) no Web site da Microsoft.